Los ataques que emplean la voz en la suplantación de identidad, conocidos como 'voice phishing' o 'vishing', han incrementado su presencia debido a la implantación masiva del teletrabajo y el incremento de redes privadas virtuales (VPN), como advierten agencias de seguridad de Estados Unidos.
'Vishing' es un tipo de fraude telefónico que suplanta la voz de una persona de confianza, por ejemplo, un supervisor, para obtener información sensible de los usuarios con la aplicación de técnicas de ingeniería social para conseguir acceso a redes internas corporativas o bases de datos.
La Oficina de Investigación Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos han advertido del crecimiento de las campañas que emplean los ataques de tipo 'vishing' en el marco de la pandemia de coronavirus, como recoge el portal del investigador de ciberseguridad Brian Krebs.
La implantación masiva del teletrabajo ha llevado al incremento del uso de las VPN y a la eliminación de la verificación en persona. En este contexto, los cibercriminales han empezado a realizar llamadas mediante voz sobre el protocolo de Internet (VoIP) a sus potenciales víctimas, empleados de los que buscan obtener información sensible hasta conseguir las credenciales de acceso corporativas.
Para ello emplean técnicas de ingeniería social, es decir, recopilan información de sus víctimas a partir de lo que se ha compartido de forma pública en Internet, por ejemplo, en las redes sociales, para ganarse su confianza.
En algunos casos, como explican, estas acciones se complementan con una web que simula ser la de la empresa y un enlace a una nueva VPN falsa, en la que las víctimas tienen que introducir un segundo factor de autenticación o una contraseña de un único uso, para conseguir las credenciales.
El fin último es acceder a las redes corporativas o a bases de datos, que contienen información que los cibercriminales pueden monetizar.
Créditos: Excelsior